Polityka prywatności
Twoje dane trzymamy w Polsce, na własnym serwerze w Łodzi. Nie używamy Google Analytics, Facebook Pixel, Hotjar ani żadnych trackerów reklamowych. Ta strona opisuje co dokładnie zbieramy i dlaczego — bez prawniczego bełkotu.
Kto jest administratorem danych
Administratorem twoich danych osobowych jest Illia Krasnopolskyi, prowadzący działalność pod marką klyo z siedzibą w Łodzi (Polska). Kontakt w sprawach prywatności: [email protected].
Przetwarzamy dane zgodnie z RODO (Rozporządzenie UE 2016/679) oraz polską ustawą o ochronie danych osobowych. Dane przechowywane wyłącznie w EU (Hetzner DC w Niemczech / Finlandii) — bez transferu do USA.
Jakie dane zbieramy
1. Niezbędne do działania serwisu
- Email — przy rejestracji, do logowania i wysyłki faktur.
- Hasło — zahashowane
argon2id, surowe nigdy nie dotyka dysku. - Adres IP — w logach (max 30 dni, do wykrywania nadużyć i debugu).
- User-Agent — typ przeglądarki, do dopasowania UI i fingerprintu urządzenia.
- Public ID konta — wewnętrzny identyfikator, NIE związany z PESEL/NIP.
2. Płatności (Stripe)
Karta płatnicza NIGDY nie dotyka serwera klyo. Obsługuje to bezpośrednio Stripe (PCI DSS Level 1, TLS 1.3). My otrzymujemy tylko: status płatności, ostatnie 4 cyfry karty, kraj wystawcy. Stripe ma własną politykę prywatności.
3. Dane techniczne (gdy hostujesz u nas stronę)
- Twoje pliki
WP, mail, baza danych — zaszyfrowane on-disk (LUKS), backup co noc. - Dane DNS, certyfikaty SSL — wystawione automatycznie przez Let's Encrypt.
- Statystyki ruchu — agregowane server-side, bez cookies, bez third-party.
Jakie cookies stosujemy
Wyłącznie niezbędne (technical). Brak marketing/analytics trackerów. Pełna lista:
| Nazwa | Cel | TTL | Typ |
|---|---|---|---|
| klyo_session | Sesja logowania (HttpOnly, Secure). Bez tego nie zalogujesz się. | 14 dni | Essential |
| klyo_dev_id | Identyfikator urządzenia. Umożliwia wznów uploadu bez ponownego wyboru folderu po refresh przeglądarki. | 5 lat | Functional |
| klyo_cookies_ack | Zapamiętuje że zamknąłeś baner cookies — żeby nie wracał. | 1 rok | Functional |
| klyo_csrf | Token zabezpieczający przed atakami CSRF (HttpOnly, SameSite=Strict). | Sesja | Essential |
Po co zbieramy te dane (cele i podstawa prawna)
| Cel | Podstawa prawna (RODO) | Retencja |
|---|---|---|
| Świadczenie usług (hosting, mail, panel) | Art. 6 ust. 1 lit. b — wykonanie umowy | Do końca umowy + 90 dni |
| Faktury, księgowość | Art. 6 ust. 1 lit. c — obowiązek prawny | 5 lat (ustawa o rachunkowości) |
| Logi bezpieczeństwa | Art. 6 ust. 1 lit. f — uzasadniony interes | 30 dni |
| Komunikacja, support | Art. 6 ust. 1 lit. b / f | 2 lata od ostatniego kontaktu |
Twoje prawa
- Dostęp — możesz zażądać kopii wszystkich danych jakie o tobie trzymamy.
- Sprostowanie — jeśli coś jest błędne, naprawimy.
- Usunięcie ("prawo do bycia zapomnianym") — usuwamy wszystkie dane poza wymaganymi prawem (faktury — 5 lat).
- Ograniczenie przetwarzania — możesz zablokować używanie konkretnych danych.
- Przenoszenie — eksport wszystkich danych w formacie JSON lub WP XML w jeden klik.
- Sprzeciw — możesz wyłączyć przetwarzanie oparte o uzasadniony interes.
- Skarga do PUODO — Urząd Ochrony Danych Osobowych w Warszawie (uodo.gov.pl).
Żeby zrealizować dowolne z tych praw — napisz na [email protected]. Odpowiadamy w ciągu 30 dni (zazwyczaj 24h).
Komu udostępniamy dane
Zewnętrznie tylko gdy jest to konieczne:
- Stripe (Irlandia) — wyłącznie do obsługi płatności kartą/BLIK. Karta NIGDY nie przechodzi przez nasz serwer.
- Hetzner Online GmbH (Niemcy) — fizyczny operator data center. Dane on-disk zaszyfrowane LUKS.
- Cloudflare (EU edge) — CDN/SSL. Tylko ruch HTTPS (zaszyfrowany), nie dane logowania.
- Urzędy/sąd — gdy przepisy obligują (np. wezwanie z policji). Zawsze ze sprawdzeniem podstawy prawnej.
Bezpieczeństwo
- Hasła — Argon2id (najwyższy standard 2024+), nigdy nie w plain text, nigdy w logach.
- 2FA / Passkey — dostępne w panelu, mocno polecamy włączyć.
- Transport — wyłącznie TLS 1.3, HSTS, HTTPS-only (HTTP redirect).
- Disk encryption — LUKS na wszystkich serwerach klyo.
- Backup — codzienne snapshoty, retencja 30 dni, przechowywane w EU.
- Audyt — każde logowanie, zmiana hasła, dostęp admin'a do twojego konta — zapisany w audit log.
Profilowanie i automatyczne decyzje
Nie profilujemy użytkowników, nie podejmujemy automatycznych decyzji wpływających na twoje prawa (np. automatyczne odrzucenie zamówienia). Wszystkie decyzje administracyjne (zawieszenie konta, wsparcie) podejmowane są przez człowieka.
Zmiany polityki
Jeśli zmienimy istotnie tę politykę — poinformujemy emailem na adres podany przy rejestracji, minimum 14 dni przed wejściem w życie. Historyczne wersje dostępne na żądanie pod [email protected].
Kontakt
Pytania, wątpliwości, żądania RODO — pisz na [email protected]. Odpowiadamy w ciągu 24 h (faktyczna SLA, nie marketingowa).
← Wróć na stronę główną